HackingTeam 2.0: Jetzt wird’s mobil

Mehr als ein Jahr ist vergangenen seit der Veröffentlichung unseres letzten Artikels über das HackingTeam, das italienische Unternehmen, welches ein “legales” Spyware-Tool entwickelt, das als Remote Control System – oder kurz RCS – bekannt ist. In der Zwischenzeit ist viel passiert, daher ist es Zeit für ein Update aller aktuellen Forschungsergebnisse zu der RCS-Malware.

Lokalisierung der Kontrollserver

Eins der wichtigsten Dinge, die wir im Zuge unserer lang andauernden und umfangreichen Ermittlungen aufgedeckt haben, ist ein spezielles Feature, das als Fingerabdruck für die RCS-Kontrollserver (C2s) benutzt werden kann. Wir haben Einzelheiten dieser Methode auf der Virus Bulletin Konferenz 2013 präsentiert.

Um es kurz zu machen: Wenn eine spezielle Anfrage an einen „harmlosen“ HackingTeam RCS-C&C-Server geschickt wird, antwortet der RCS-C&C mit der folgenden Fehlermeldung:

HackingTeam 2.0: Jetzt wird's mobil

Eine Folie aus unserer VB-Präsentation mit dem Fingerabdruck des C2 von HackingTeam

Zunächst einmal ist der Codename ‘RCS’ hier enthalten – so weit, so gut. Nicht ganz sicher waren wir uns in Bezug auf den ‘Collector,’ auf den in der Antwort hingewiesen wurde. Das bezieht sich wahrscheinlich auf die Tatsache, dass der Server Informationen von den Opfern sammelt, auf Englisch „to collect”. Wir haben diese spezielle Fingerabdruck-Methode verwendet, um den gesamten IPv4-Raum zu scannen, wodurch wir alle IP-Adressen der RCS-C2s rund um den Globus ausfindig machen und sie hübsch auf einer Karte einzeichnen konnten. Wir konnten insgesamt 326 C2s lokalisieren.

Anzahl der C2s Land
64 VEREINIGTE STAATEN
49 KASACHSTAN
35 ECUADOR
32 VEREINIGTES KÖNIGREICH
24 KANADA
15 CHINA
12 KOLUMBIEN
7 POLEN
7 NEUSEELAND
6 PERU
6 INDONESIEN
6 BRASILIEN
6 BOLIVIEN
6 ARGENTINIEN
5 RUSSISCHE FÖDERATION
5 INDIEN
4 HONG KONG
4 AUSTRALIEN
3 SPANIEN
2 SAUDI ARABIEN
2 MALAYSIA
2 ITALIEN
2 DEUTSCHLAND
2 FRANKREICH
2 ÄGYPTEN
1 UKRAINE
1 THAILAND
1 SCHWEDEN
1 SINGAPUR
1 RUMÄNIEN
1 PARAGUAY
1 MAROKKO
1 LITAUEN
1 KENIA
1 JAPAN
1 IRLAND
1 UNGARN
1 DÄNEMARK
1 TSCHECHISCHE REPUBLIK
1 ZYPERN
1 ANDERE
1 BELGIEN
1 ASERBAIDSCHAN

HackingTeam 2.0: Jetzt wird's mobil

Karte mit den aktuellen Standorten der Server vom HackingTeam

Die meisten identifizierten Server befanden sich in den USA, in Kasachstan und in Ecuador. Leider können wir nicht sicher sein, dass die Server in einem bestimmten Land nicht von den Strafverfolgungsbehörden dieses Landes benutzt werden; in jedem Fall wäre es sinnvoll aus Sicht der Strafverfolgungsbehörden, ihre C&Cs in den eigenen Ländern zu platzieren, um so grenzübergreifende rechtliche Probleme und die Beschlagnahmung von Servern zu vermeiden. Einige IPs wurden jedenfalls eindeutig mit den Regierungen des jeweiligen Landes in Verbindung gebracht, und zwar aufgrund ihrer WHOIS-Informationen, die gute Hinweise darauf liefern, wer sie besitzt.

Mobile Module

Für eine gewisse Zeit war es ein offenes Geheimnis, dass die Produkte von HackingTeam Schadprogramme für Mobiltelefone enthalten. Trotzdem waren sie selten anzutreffen. Insbesondere die Trojaner für Android und iOS konnten zuvor nicht identifiziert werden und gehörten zu einem der letzten weißen Flecken in dieser Geschichte. Früher im laufenden Jahr entdeckten wir einige mobile Malware-Module von HackingTeam für die folgenden Plattformen:

  • Android
  • iOS
  • Windows Mobile
  • BlackBerry

Alle diese Module werden von demselben Konfigurationstyp kontrolliert, was stark darauf hinweist, dass sie miteinander in Zusammenhang stehen und zur selben Produktfamilie gehören.

HackingTeam 2.0: Jetzt wird's mobil

Konfigurationsdatei von den mobilen RCS-Modulen

Unser Hauptaugenmerk lag bei der Analyse der mobilen Module aufgrund ihrer Popularität sicherlich auf iOS und Android. Das iOS-Modul funktioniert nur auf Geräten mit Jailbreak. Hier eine Beschreibung der wichtigsten Funktionen des iOS-Moduls:

  • Kontrolle von Wi-Fi, GPS, GPRS
  • Sprachaufnahme
  • E-Mail, SMS, MMS
  • Dateiauflistung
  • Cookies
  • Besuchte URLs
  • Webseiten im Cache
  • Adressbuch
  • Anruflisten
  • Notizen
  • Kalender
  • Zwischenablage
  • Liste der Apps
  • Änderung der SIM
  • Live-Mikrophon
  • Kamerabilder
  • Unterstützung von Chats, WhatsApp, Skype, Viber
  • Protokollierung der Tastatureingaben von allen Apps und Screens via libinjection

HackingTeam 2.0: Jetzt wird's mobil

Disassemblierter Code des iOS-Moduls

Das Android-Modul wird von dem DexGuard-Optimizer/Obfuskator geschützt und ist daher extrem schwierig zu analysieren. Trotzdem haben wir herausgefunden (siehe die Spur unten), dass das Sample über alle oben aufgeführten Funktionen des iOS-Moduls verfügt – plus Unterstützung des Informationsdiebstahls von den folgenden Anwendungen:

  • com.tencent.mm
  • com.google.android.gm
  • android.calendar
  • com.facebook
  • jp.naver.line.android
  • com.google.android.talk

HackingTeam 2.0: Jetzt wird's mobil

Spur eines RCS-Android-Samples

Mobile Infektoren

Ein anderer Aspekt von besonderem Interesse für uns ist die Art, wie die Malware-Samples auf den mobilen Geräten installiert sind. Wir entdeckten verschiedene Module, die mobile Geräte infizieren, die mit infizierten Windows- oder Mac OS X-Computern verbunden sind.

Wie bereits erwähnt, kann das iOS-Modul nur auf Geräten mit Jailbreak verwendet werden. Daher verwendet der iOS-Infektor das AFP2-Protokoll für die Übertragung. Der “Infektor” hat eine hübsche grafische Benutzeroberfläche, die die Installation ermöglicht, wenn physischer Zugriff auf das Gerät des Opfers besteht oder entfernter Admin-Zugriff auf einen infizierten Computer.

HackingTeam 2.0: Jetzt wird's mobil

Hauptfenster des iOS-Infektors

iPhone1,1 iPhone1,2 iPhone2,1
iPhone3,1 iPhone3,2 iPhone3,3
iPhone4,1 iPhone5,1 iPhone5,2
iPad1,1 iPad2,1 iPad2,2
iPad2,3 iPad2,4 iPad3,1
iPad3,2 iPad3,3 iPad3,4
iPad3,5 iPad3,6 iPhone
iPhone 3G iPhone 3GS iPhone 4
iPhone 4 iPhone 4 (cdma) iPhone 4s
iPhone 5 (gsm) iPhone 5 iPad
iPad2 (Wi-Fi) iPad2 (gsm) iPad2 (cdma)
iPad2 (Wi-Fi) iPad3 (Wi-Fi) iPad3 (gsm)
iPad3 iPad4 (Wi-Fi) iPad4 (gsm)
iPad4    

Liste der Apple-Geräte, die von dem iOS-Infektor unterstützt werden

Nach der erfolgreichen Verbindungsherstellung kopiert der iOS-Infektor verschiedene Dateien in iOS und führt eine install.sh-Datei aus:

HackingTeam 2.0: Jetzt wird's mobil

Teil der install.sh-Datei, die auf einem infizierten iOS-Gerät ausgeführt wird

Wie bereits oben erwähnt, ist entfernter Admin-Zugriff auf einen infizierten Computer ein möglicher Weg für die Malware, sich auf einem damit verbundenen mobilen Gerät zu infizieren. Die Tatsache, dass nur iOS-Geräte, auf denen ein Jailbreak durchgeführt wurde, unterstützt werden, kann eine gewisse Einschränkung bedeuten. Doch das ist kein großes Problem, da die Angreifer auch ein Jailbreak-Tool, wie etwa Evasi0n, über denselben infizierten Computer ausführen können. In diesem Fall kann nur noch der Passcode des mobilen Gerätes den User vor einem entfernten Jailbreak und einer Infektion schützen. Doch ist das Gerät entsperrt, während es mit dem infizierten Computer verbunden ist, kann es von Angreifern infiziert werden.

Ein weiterer interessanter Infektor ist der für BlackBerry-Geräte, der die Anwendung JavaLoader verwendet, um Malware-Samples auf BB 4.5 und 5.0 zu laden. In seinem disassemblierten Code fanden wir einen Pfad zu der PDB-Debug-Datei, die vermutlich aus Versehen von den Autoren hinterlassen wurde. Das Originalprojekt befand sich unter ‘C:HTRCSBlackBerryWorkspaceRCS_BB_Infection_Agent’, als diese Malware entwickelt wurde.

HackingTeam 2.0: Jetzt wird's mobil

Teil des Codes eines Blackberry-Infektors mit Pfad zu der PDB-Datei

Zusammenfassung

In der neusten Folge unserer noch andauernden Untersuchungsreihe entdeckten wir eine umfangreiche Infrastruktur, die zur Kontrolle der RCS-Malware-Implantate dient. Unsere jüngsten Ermittlungen förderten mobile Module zutage, die auf allen wohl bekannten mobilen Plattformen laufen, Android und iOS eingeschlossen. Diese Module werden mit Hilfe von Infektoren installiert – spezielle ausführbare Dateien entweder für Windows oder Macs, die auf bereits infizierten Computern laufen. Sie übernehmen die vollständige Kontrolle über den Computer des Opfers und über alles, was in der Nähe ist. Durch das geheime Aktivieren des Mikrophons und das regelmäßige Erstellen von Kameraaufnahmen wird eine konstante Überwachung des Ziels gewährleistet – was sehr viel effektiver ist als die traditionellen Nacht- und Nebelaktionen.

Die neuen Daten, die wir über das RCS von HackingTeam veröffentlichen, sind extrem wichtig, da sie den Grad der Perfektion und die Ausgereiftheit dieser Überwachungswerkzeuge zeigen. Sind wir in der Lage, unsere Kunden vor solchen raffinierten Bedrohungen zu schützten, so haben wir – unserer Meinung nach – ganz sicher keine Probleme mit weniger komplexen, gewöhnlicheren Bedrohungen, wie sie von Cyberkriminellen benutzt werden.

Anhang:

MD5s der mobilen Infektoren:

  • 14b03ada92dd81d6ce57f43889810087 – BlackBerry infector
  • 35c4f9f242aae60edbd1fe150bc952d5 – iOS infector

MD5s des Android-Samples:

  • ff8e7f09232198d6529d9194c86c0791
  • 36ab980a954b02a26d3af4378f6c04b4
  • a2a659d66e83ffe66b6d728a52130b72
  • 9f06db99d2e5b27b01113f78b745ff28
  • a43ea939e883cc33fc766dd0bcac9f6a
  • a465ead1fd61afe72238306c7ed048fe

MD5s der Windows-Samples:

  • bf8aba6f7640f470a8f75e9adc5b940d
  • b04ab81b9b796042c46966705cd2d201
  • 1be71818a228e88918dac0a8140dbd34
  • c7268b341fd68cf334fc92269f07503a

Liste der aktiven C2s am 19.06.2014:

  • 50.63.180.***
  • 146.185.30.***
  • 204.188.221.***
  • 91.109.17.***
  • 106.186.17.***
  • 119.59.123.***
  • 95.141.46.***
  • 192.71.245.***
  • 106.187.99.***
  • 93.95.219.***
  • 106.187.96.***
  • 124.217.245.***
  • 23.92.30.***
  • 82.146.58.***
  • 93.95.219.***
  • 209.59.205.***

RCS-Module (Bezeichnungen gemäß Klassifizierung von Kaspersky Lab):

  • Backdoor.OSX.Morcut
  • Rootkit.OSX.Morcut
  • Trojan.OSX.Morcut
  • Backdoor.Win32.Korablin
  • Backdoor.Win64.Korablin
  • Rootkit.Win32.Korablin
  • Rootkit.Win64.Korablin
  • Trojan.Multi.Korablin
  • Trojan-Dropper.Win32.Korablin
  • Backdoor.AndroidOS.Criag
  • Trojan-Spy.AndroidOS.Mekir
  • Trojan.Win32.BBInfector
  • Trojan.Win32.IOSinfector
  • Trojan.OSX.IOSinfector
  • Trojan-Spy.IphoneOS.Mekir
  • Trojan-Spy.WinCE.Mekir
  • Trojan-Spy.BlackberryOS.Mekir

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.